-----BEGIN PGP SIGNED MESSAGE-----

                                                         JPCERT-WR-2007-3001
                                                                   JPCERT/CC
                                                                  2007-08-08

                 <<< JPCERT/CC REPORT 2007-08-08 >>>

――――――――――――――――――――――――――――――――――――――
■07/29(日)〜08/04(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Sun Java Web Start にバッファオーバーフローの脆弱性
【2】Apple 製品に複数の脆弱性
【3】一太郎シリーズに脆弱性
【4】OpenSSL に脆弱性
【5】弥生会計および弥生販売のクイックナビゲータ機能に脆弱性
【6】Atheros のワイヤレスネットワークドライバに脆弱性
【今週のひとくちメモ】インターネットセキュリティの歴史 第7回 「Love Letter ウイルス」

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/2007/wr073001.html
        http://www.jpcert.or.jp/wr/2007/wr073001.xml
============================================================================


【1】Sun Java Web Start にバッファオーバーフローの脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#481921
      Sun Java Web Start にバッファオーバーフローの脆弱性
      http://jvn.jp/cert/JVNVU%23481921/index.html

    概要
      Sun Java Web Start には、バッファオーバーフローの脆弱性がありま
      す。結果として、遠隔の第三者が細工した JNLP ファイルを開かせるこ
      とで Java Web Start を実行しているユーザの権限で任意のコマンドを
      実行する可能性があります。

      Java Web Start は、Web を通じて Java アプリケーションを配布するた
      めのツールであり、JRE (Java Runtime Environment) 等の Java 実行環
      境に同梱されています。

      対象となるバージョンは以下の通りです。

      - JDK 6 Update 1 およびそれ以前
      - JRE 6 Update 1 およびそれ以前
      - JDK 5.0 Update 11 およびそれ以前
      - JRE 5.0 Update 11 およびそれ以前

      この問題は、Sun が提供する修正済みのバージョンにそれぞれの製品を
      更新することで解決します。

    関連文書 (英語)
      Sun Alert Notification 102996
      Security Vulnerability in Java Web Start URL Parsing Code May Allow Untrusted Applications to Elevate Privileges
      http://sunsolve.sun.com/search/document.do?assetkey=1-26-102996-1

【2】Apple 製品に複数の脆弱性

    情報源
      アップル - サポート
      Apple セキュリティアップデートについて
      http://docs.info.apple.com/article.html?artnum=61798-ja

    概要
      Mac OS X、Mac OS X Server、Safari 3.0 および、iPhone には複数の
      脆弱性があります。結果として、遠隔の第三者が任意のコードを実行し
      たり、ユーザのブラウザ上で任意のスクリプトを実行する可能性があり
      ます。

      対象となるバージョンについては Apple が提供する情報を参照してく
      ださい。

      この問題は、Apple が提供する以下のセキュリティアップデートを適用
      することで解決します。

      - Mac OS X および Mac OS X Server では Security Update 2007-007
      - Safari 3 beta では Safari 3 Beta Update 3.0.3
      - iPhone では iPhone v1.0.1 Update

    関連文書 (日本語)
      Japan Vulnerability Notes JVN#16018033
      Safari における URL の表示偽装の脆弱性
      http://jvn.jp/jp/JVN%2316018033/index.html

      独立行政法人 情報処理推進機構 セキュリティセンター
      JVN#16018033 「Safari」における URL の表示偽装の脆弱性
      http://www.ipa.go.jp/security/vuln/documents/2007/JVN_16018033.html

    関連文書 (英語)
      Apple - Support
      About Security Update 2007-007
      http://docs.info.apple.com/article.html?artnum=306172

      Apple - Support
      About the security content of Safari 3 Beta Update 3.0.3
      http://docs.info.apple.com/article.html?artnum=306174

      Apple - Support
      About the security content of iPhone v1.0.1 Update
      http://docs.info.apple.com/article.html?artnum=306173

【3】一太郎シリーズに脆弱性

    情報源
      ジャストシステム
      一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
      http://www.justsystem.co.jp/info/pd7003.html

    概要
      ジャストシステムの一太郎シリーズには脆弱性があります。結果として、
      遠隔の第三者が、細工した一太郎文書ファイルをユーザに開かせること
      で任意のコードを実行する可能性があります。

      対象となる製品は以下の通りです。

      - 一太郎2007
      - 一太郎ガバメント2007
      - 一太郎2007体験版
      - 一太郎2006
      - 一太郎ガバメント2006
      - 一太郎2005
      - 一太郎 文藝
      - 一太郎2004
      - 一太郎13
      - 一太郎12
      - 一太郎11
      - 一太郎ビューア

      2007年8月7日現在、この問題を解決するアップデートモジュールは提供
      されていません。ジャストシステムでは、アップデートモジュールを開
      発中と発表しています。アップデートモジュールが提供されるまで不審
      な一太郎ファイルは開かないようにしてください。

【4】OpenSSL に脆弱性

    情報源
      US-CERT Vulnerability Note VU#724968
      RSA key reconstruction vulnerability
      http://www.kb.cert.org/vuls/id/724968

    概要
      OpenSSL の RSA 実装には、脆弱性があります。結果として、ローカル
      ユーザが暗号鍵を取得する可能性があります。

      対象となるバージョンは以下の通りです。

      - OpenSSL 0.9.8e およびそれ以前

      この問題は、OpenSSL Project が提供するパッチを OpenSSL に適用す
      ることで解決します。

    関連文書 (英語)
      OpenSSL
      Welcome to the OpenSSL Project
      http://openssl.org/

【5】弥生会計および弥生販売のクイックナビゲータ機能に脆弱性

    情報源
      Japan Vulnerability Notes JVN#43615794
      弥生会計における認証情報の扱いに関する脆弱性
      http://jvn.jp/jp/JVN%2343615794/index.html

    概要
      弥生会計および弥生販売のクイックナビゲータ機能には、脆弱性があり
      ます。結果として、遠隔の第三者が認証情報を取得する可能性がありま
      す。

      対象となる製品およびバージョンは以下の通りです。

      - 弥生会計05シリーズ・やよいの青色申告05各製品
      - 弥生会計06シリーズ・やよいの青色申告06各製品 (R2 を含む)
      - 弥生会計07シリーズ・やよいの青色申告07各製品 (R2 を除く)
      - 弥生販売06シリーズ各製品
      - 弥生販売07シリーズ各製品 (製品バージョン10.0.1のみ)

      この問題は、弥生株式会社が提供する修正済みのバージョンに該当の製
      品を更新することで解決します。

    関連文書 (日本語)
      弥生株式会社_お知らせ
      【重要】 旧バージョンの「弥生会計（やよいの青色申告含む）」「弥生販売」をご利用のお客様へ
      http://www.yayoi-kk.co.jp/news/20070730.html

      独立行政法人 情報処理推進機構 セキュリティセンター
      JVN#43615794 「弥生会計」における認証情報の扱いに関する脆弱性
      http://www.ipa.go.jp/security/vuln/documents/2007/JVN_43615794.html

【6】Atheros のワイヤレスネットワークドライバに脆弱性

    情報源
      US-CERT Vulnerability Note VU#730169
      Atheros wireless network drivers may fail to properly handle malformed frames
      http://www.kb.cert.org/vuls/id/730169

    概要
      Atheros のワイヤレスネットワークドライバには、脆弱性があります。
      結果として、遠隔の第三者が細工した IEEE 802.11 マネージメントフ
      レームを送信することでサービス運用妨害 (DoS) 攻撃を行う可能性が
      あります。

      対象となるプラットフォームおよびバージョンは以下の通りです。

       - Microsoft Windows で動作する以下のバージョン
        - Atheros ドライバのバージョン 5.3.0 系 
        - Atheros ドライバのバージョン 6.0.3 系

      なお、Windows Vista 用のドライバについては、本脆弱性の影響を受け
      ません。

      この問題は、Atheros が提供する修正済みのバージョンに Atheros ド
      ライバを更新することで解決します。また、Atheros から OEM 提供を
      受けているベンダが、自社ブランドの製品としてデバイスドライバを更
      新する場合もあります。詳細については、各ベンダが提供する情報を参
      照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#730169
      Atheros 社のワイヤレスネットワークドライバにおけるマネージメントフレームの取り扱いに関する脆弱性
      http://jvn.jp/cert/JVNVU%23730169/index.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○インターネットセキュリティの歴史 第7回 「Love Letter ウイルス」

      2000年5月、VBScript で書かれた「Love Letter」または「I LOVE YOU」
      と呼ばれるウイルスによる被害が発生しました。このウイルスは電子メー
      ルや IRC などの複数の方法を使って感染を試みます。

      感染を広めた電子メールは以下のような内容です。

      [件名]
        I LOVE YOU

      [本文]
        kindly check the attached LOVELETTER coming from me.
        (訳) 私からのラブレターを添付したのでご覧ください.

      [添付ファイル]
        LOVE-LETTER-FOR-YOU.TXT.VBS (VBScript ファイル)

      ユーザが添付ファイルを開くことで Love Letter ウイルスに感染し、
      Microsoft Outlook のアドレス帳に登録された全てのアドレスに対して
      同様のメールを送付します。

      Love Letter ウイルスはシンプルながらも受信者の興味をひくメールの
      件名で国内でも爆発的に感染を広げました。

    参考文献 (英語)
      CERT Advisory CA-2000-04
      Love Letter Worm
      http://www.cert.org/advisories/CA-2000-04.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2007 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQCVAwUBRrkms4x1ay4slNTtAQHyRgP+IrFmrNDBjry+8DaPMTjsdgGzDqLPYVco
91oZI8CEnt67A6tZpwg3DzFsAH/aEjpUVsBEocGZCtevZ/Gv2n+/ScaUIdEw9gl6
0PHpJQm9f0hqulwlInPuGUd1uKTWQxPFGb0CoypKDUxdZSif63fuq8wP4nrm9qmh
inLpyyk2Q70=
=b8b8
-----END PGP SIGNATURE-----